AI Araştırmacıları AB Websitesinin %97’sinin GDPR Gizlilik Gereksinimlerini Karşılamadığını Tahmin Ediyor – Özellikle Kullanıcı Profili Oluşturma

ABD’deki araştırmacılar, AB’de bulunan binin üzerinde temsilci web sitesinin GDPR gizlilik politikalarını makine öğrenimi teknikleri kullanarak incelemişlerdir. Çalışmada, incelenen sitelerin %97’sinin en az bir GDPR gereksinimine uymadığını ve özellikle “kullanıcı profili oluşturma” uygulamasına ilişkin düzenleyici gereksinimlere uymada en fazla başarısızlığa sahip olduklarını bulmuşlardır.

Makalede şöyle denilmektedir:

‘[Çünkü] gizlilik politikası, kullanıcıların gizliliklerini anlamak ve kontrol etmek için temel iletişim kanalıdır, birçok şirket GDPR’nin uygulanmasının ardından gizlilik politikalarını güncellemiştir. Ancak çoğu gizlilik politikası wordy, jargondan dolu ve şirketlerin veri uygulamaları ile kullanıcı hakları hakkında belirsiz bir şekilde tarif edilmektedir. Bu nedenle, GDPR’ye uyup uymadıkları belli değildir.’

Devamında:

‘Sonuçlarımız, GDPR’nin yürürlüğe girdiği sonrasında bile %97’nin websitesinin hala en az bir GDPR gereksinimine uymadığını göstermektedir.’

Çalışma GDPR Açıklama Gereksinimlerinin Gizlilik Politikalarında Derin Etkin Öğrenme Kullanılarak Otomatik Tespiti adlı bir çalışmadır ve Charlottesville’deki Virginia Üniversitesi’nden üç araştırmacı tarafından yapılmıştır.

Gizlilik Son

Uygunluk oranı en düşük olan alan, çalışmaya göre, GDPR’nin kullanıcı profili oluşturma ile ilgili hükümlerine ilişkin olup, yazarlar sadece %15,3’lük bir oranda sitenin bu particular kurala tam olarak uyduğunu belirtmiştir.

Araştırmada incelenen websitesi arasında uyumluluk grafiği. Kaynak: https://arxiv.org/pdf/2111.04224.pdf

Kullanıcı profili oluşturma (bir kişinin web siteleriyle etkileşiminin kaydedilmesi ve genellikle diğer çevrimiçi bağlamlarda, örneğin reklamcılıkta “hedeflenmek” için kullanılması), Cambridge Analytica skandalı 이후 teknoloji dünyasında en çok tartışılan konulardan biri haline gelmiştir.

Salı günü, Avrupa Parlamentosu’nun bir komitesi, kabul ettiği yeni Dijital Pazarlar Yasası (DMA) yasası, küresel yıllık satışlarının %20’sine varan cezalar uygulayarak, davranışsal hedeflemeyi yasaklayacaktır.

Yasanın, Facebook ve Google gibi teknoloji devlerinin artan etkisine doğrudan bir yanıt olarak medyada yer almasına rağmen, yeni araştırmada temsil edilen uyumsuzluk ölçeği, AB şirketlerinin (Avrupa’da faaliyet gösteren Amerikan şirketlerinin AB’deki ofisleri dahil) büyük çoğunluğunun GDPR cezalarına karşı yasal olarak savunmasız olduklarını göstermektedir.

Ek olarak, İtalya bu hafta, kullanıcı profili oluşturma da dahil olmak üzere diğer ihlaller nedeniyle Apple ve Google’a karşı izin verilen maksimum 10 milyon euro (11,2 milyon dolar) cezasını uygulamıştır.

Veri

İncelenen siteler, Quantcast’te listelenen en iyi 10.000 web sitesinden örneklenmiştir, İngiliz dilindeki gizlilik politikaları, UK merkezli VPN’ler aracılığıyla Yandex aramaları yoluyla çıkarılmıştır (böylece politikaların coğrafi olarak engellenmediğinden emin olunmuştur).

AB web siteleri, Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) kapsamında 18 merkezi gereksinimi kapsayan zorunlu gizlilik politikaları sunmak zorundadır.

Araştırmacılar, gizlilik politikalarının çıkarılmasını, alan adlarının GDPR’nin yürürlüğe girdiği tarihten sonra Makaleye görereasonable bir süre sonra, yani Ağustos 2018’den sonra sınırlamışlardır (bu, GDPR’nin geliştirme aşamasında en az bir yıl önce bilindiği için bir gereksinimdir).

Filtreleme süreci, 9.761 politika içeren bir gizlilik koleksiyonu üretti ve araştırmacılar bu koleksiyondan 1.080 politikayı rastgele seçti.

Ön İşleme

Ekibe iki hukuk uzmanı, dört insan annotatörü her bir GDPR tarafından zorunlu kılınan 18 olası gizlilik politikasını etiketlemek için eğitti.

Politikaların bazıları, 18 gereksinimden birden fazlasını kapsıyordu, bu nedenle her politika ile ilgili dil özelliklerini tespit etmek için bir Convolutional Neural Network (CNN) kullanmak gerekliydi.

Dil temelinde uyumluluğu tespit etmeye yönelik ilk deneme %80,5’lik bir başarı elde etti. Sonuçları iyileştirmek için araştırmacılar, modelin performansını daha az etiketli veri kullanarak artırmak için Etkin Öğrenme uyguladı. Bu sayede, sınıflandırıcı CNN %89,2’lik bir doğruluk oranıyla ve 0,88’lik bir F1 puanı ile eğitilebildi (burada ‘1’, tam başarıyı temsil etmektedir).

Gizlilik politikalarına özgü kelime gömme işlemlerini sağlamak için araştırmacılar, Facebook’un FastText Python kütüphanesini kullanarak bir denetimli kelime gömme modeli eğitti.

Standart uygulamaya uygun olarak, nihai veri, eğitim verisi ve test verisi arasında %80/%20 oranında bölündü (yani, algoritmanın doğruluğunu değerlendirebilmek için rastgele seçilen veriler). İnsan-merkezli bir ölçüm çalışması, mimariye eklenerek sonuçların kalitesi değerlendirildi.

Sınıflandırıcı sisteminin mimarisi.

İş akışı sırasında, dört hukuk uzmanı tarafından eğitilen dört insan annotatörü tarafından gözden geçirilen 11.271 insan tarafından etiketlenmiş gizlilik politikası segmenti üretildi. Anlaşmazlık durumunda, verilerin reddedilmemesi için %75’lik bir anlaşma oranı gerekliydi.

İnsanlar-döngüde – politika verilerinin etiketlenmesini tamamen otomatikleştirmek mümkün değildi, ancak Etkin Öğrenme, projeyi mümkün kılan bir havuz tabanlı iş akışı sağladı.

Zaten bahsedilen sonuçların yanı sıra, araştırmacılar, taşıma – bir şirket tarafından tutulan verilerin aktarılması veya ihracatı hakkının – neredeyse profil oluşturma kadar kötü bir şekilde karşılandığını bulmuşlardır.

Araştırmacılar şöyle sonuca varıyorlar:

‘[Gereksinimler] gibi Kullanıcıların Veri Taşımaya Hakkı ve Veri Koruma Memuru (DPO) iletişim bilgilerinin sağlanması, sırasıyla %15,5 ve %16,4 web siteleri tarafından karşılanmaktadır. Diğer temel gereksinimler, Kullanıcıların Şikayette Bulunma, Onayını Geri Çekme, İtiraz Hakkı ve Uygunluk Kararı, %17-20 web siteleri tarafından karşılanmaktadır.’

ve devam ediyor:

‘Sadece %3’lük bir web sitesi 18 gereksinime tam olarak uymaktadır. Bu bulgular, birçok web sitesinin hala GDPR gereksinimlerini karşılamadığını göstermektedir.’

26/11/2021 19:00 – İlk grafik açıklaması düzeltildi. – MA